Digital Forensics: Forensic Acquisition of Solid State Drives With TD2

Digital Forensics: Forensic Acquisition of Solid State Drives With TD2

 ทดสอบ การสำเนาข้อมูลจาก Solid State Drives (SSD)  จำนวน 2 ครั้ง

ตัวอย่างที่ 1
1.  สำเนาข้อมูลจาก Solid State Drives (SSD) ขนาด 240 GB ชนิด SATA
แสดงวิธีการทำสำเนาฮาร์ดดิสก์ชนิดโดยใช้อุปกรณ์ Forensic Duplicator ซึ่งมีสายดาต้า เชื่อมต่อไปยังพยานหลักฐานต้นฉบับที่อยู่ด้านซ้ายเพื่ออ่านข้อมูล และมีสายดาต้าอีกเส้นที่ต่อไปยังฮาร์ดดิสก์สำเนาที่อยู่ด้านขวาเพื่อเขียนข้อมูล

 

2. เก็บ Forensic Image  ไว้ใน HD WD 500 GB

 อุปกรณ์นี้มีจอแสดงผลซึ่งสามารถแสดงค่าแฮชเพื่อยืนยันความครบถ้วนสมบูรณ์ของกระบวนการทำสำเนา และนอกจากนี้ก็ยังมีการสร้าง Log เพื่อบันทึกรายละเอียดที่เกี่ยวข้องทั้งหมด เช่น ข้อมูลรุ่น ยี่ห้อ Serial number ความจุ จำนวนและขนาดเซ็กเตอร์ เวลาเริ่มต้น/สำเร็จ ค่าแฮช เป็นต้น

 

3.ค่า Hash ที่ได้
        Task: Disk to File
         Status: Verified
        Created: 2018-10-17 15:22
        Closed : 2018-10-17 16:30
        SHA1: 64403bb85afae6e58fe5265c1c6e198d31276907
         MD5 : fd98f9338b277bc835bd2215a53f7559

Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ

ตัวอย่างที่ 2
1.  สำเนาข้อมูลจาก Solid State Drives (SSD) ขนาด 240 GB  ทำซ้ำเหมือนตัวอย่างที่ 1

2.ค่า Hash ที่ได้
        Task: Disk to File
        Status: Verified
        Created: 2018-10-17 17:12
        Closed : 2018-10-17 18:19
        SHA1: 64403bb85afae6e58fe5265c1c6e198d31276907
         MD5 : fd98f9338b277bc835bd2215a53f7559
Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำสำเนา และค่าแฮชของพยานหลักฐานต้นฉบับ

 สรุป

ผลการทดสอบ  การใช้อุปกรณ์ที่มีฟังก์ชั่นป้องกันการเขียนทับ (Write Blocker) ข้อมูลต้นฉบับ จะสามารถป้องกันการเข้าถึงและการเขียนข้อมูลลงหลักฐานจากเครื่องคอมพิวเตอร์ที่ตรวจสอบได้ แต่จะไม่สามารถป้องกัน การทำงานจาก Garbage Collection ที่เกิดจากชิป controller ใน SSD ได้

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#computerforensics
#digitalforensics#dforensic.blogspot.com